Drieluik, deel 3

Case: holistische kijk op informatiebeveiliging

Einde van verstikkende informatiebeveiliging

Computable Expert

Bernhard van der Feen

Manager Bureau ICT

Expert van Computable voor de topics: Security en Beleid

Meer

In dit drieluik positioneer ik een open en publieke methode die informatiebeveiliging toepast als ondersteuning van de business en niet als een beveiliging die juist de zakelijke kansen blokkeert. In het eerste deel schetste ik de huidige status die informatiebeveiliging vaak bij bedrijven heeft. In het tweede deel beschreef ik de zienswijze en methodiek die hierin verlichting kan brengen en in dit derde een laatste deel beschrijf ik een case waarin deze zienswijze een belangrijke rol speelt.

Ik heb nagedacht over welke case ik hier moest beschrijven. Dat kan een hoogdravend enterprise-brede green field-implementatie zijn waar slechts een enkeling ooit mee te maken krijgt. Ik heb besloten dat niet te doen. In plaats daarvan heb ik gekozen voor een vereenvoudigde beschrijving van een opvolging van een incident dat goed bij iedereen in de organisatie zou kunnen voorkomen. Ik neem daarbij het risico dat de lezer de schouders optrekt en het afdoet als gewoon logisch nadenken. Hou dan één vraag in het hoofd: waarom komt het probleem zoals hierna beschreven zo vaak voor? Ja, de oplossing is logisch nadenken, maar zonder leidraad in de vorm van een methodiek gaat de natuur van veel informatiebeveiligers z'n eigen gang.

Een voorbeeld: Het probleem en de standaard (threat based) oplossing.

Ik schets kort de situatie. Er is bij een bedrijf een usb-stick met de gehele klantendatabase verloren. Het is niet duidelijk of de stick in verkeerde handen is gekomen maar áls dat gebeurt, dan zou dat zeer schadelijk zijn voor de organisatie. De directie krijgt er lucht van, schrikt en sommeert de ict-afdeling dat er snel een oplossing moet komen zodat dit niet weer gebeurt.

De gewoonlijke actie

De ict-organisatie denkt goed na, weegt af of het mogelijk is om usb-sticks te verbieden. Dat zou erg veel weerstand oproepen bij gebruikers dus dat is geen goed plan. Ze kijkt grondig naar de mogelijkheden van beveiliging van de usb-sticks en ziet in encryptie wel een goede oplossing. Men selecteert een product, evalueert de gebruiksvriendelijkheid en besluit dat er mee te leven is. De technologie wordt aangeschaft, getest, uitgerold en in gebruik genomen. Geen eenvoudig project maar het was duidelijk een businessgedreven beslissing om dit te doen, dus ict geeft het project serieuze aandacht. Er was voor de kosten van de aanschaf van de beveiligingshulpmiddelen  extra budget toegekend aan ict, maar het was ook een flinke onvoorziene extra belasting voor beheer en de helpdesk. De gebruikers klaagden over het onhandige gebruik. In de praktijk bleek bij een toetsing ook nog dat een onrustbarend percentage van de medewerkers de beveiliging wist te omzeilen.

Dit is voor de meesten van ons geen vreemde situatie. Een verre van ideale oplossing die te veel kost, onvriendelijk is voor de gebruikers en uiteindelijk niet veel meer dan een veronderstelde veiligheid geeft. We moeten bij het verhaal ook nog een kritische kanttekening plaatsen. Het is de business die riep dat het probleem opgelost moest worden, maar daarmee was de keuze voor de encryptie-oplossing zeker niet businessgedreven. Die was voornamelijk technologie gedreven.

De bedrijfsgerichte analyse

Nu zal ik beschrijven hoe de SABSA-denkwijze en -methodiek tot een andere oplossing komt. Een holistische kijk met als resultaat dat het risico beter is afgemeten aan de risicobehoefte en de kosten verminderd zijn. Aan het eind van de beschrijving klinkt het zo logisch dat je je eigenlijk niet voor kunt stellen dat het in de praktijk meestal anders gaat.

De uitgebreide werkwijze van SABSA vraagt ons gewoonlijk eerst eens op businessniveau te onderzoeken wat de businessdoelstellingen zijn. Op basis daarvan vinden we de businessdrivers en hun informatie-eisen. Een set hulpmiddelen is daarvoor beschikbaar. Die informatie samen vormt uiteindelijk de securityarchitectuur voor onze organisatie waar mensen, processen en middelen binnen moeten vallen. De SABSA-methodiek voert ons van daaruit door elke laag van de organisatie en processen om te borgen en te documenteren dat die samenhang in architectuur er overal is en blijft. Dat gaan we in deze case allemaal niet doen, want daar krijg je vaak niet de gelegenheid voor. Daarmee laat ik wel een mooie meerwaarde van SABSA onderbelicht, maar denk dat deze écht praktische situatie vaker voorkomt.

In ons geval stel ik dat we incidentgedreven moeten werken, dus passen we een subset van SABSA toe. We hebben het probleem van de usb-stick, dat is ons startpunt. Omdat we nu niet aan te top kunnen beginnen, gaan we rondom ons probleem schillen verkennen met als doel om een steeds bredere kijk op het probleem te krijgen. Een holistische kijk of die in ieder geval zo ver mogelijk te benaderen. SABSA helpt ons de juiste vragen te stellen bij de juiste mensen. In werkelijkheid zijn het mogelijk enkele interviews, maar vanwege de beperkte ruimte in dit artikel vat ik ze samen in drie vragen en antwoorden:

- Waarom heeft de buitendienstmedewerker klantinformatie nodig? Omdat hij de klant optimaal van dienst wil zijn.
- Waarom wil hij dat? Omdat z'n baas hem dat zegt.
- Waarom zegt z'n baas dat? Omdat het in de bedrijfsdoelstelling is opgenomen om het hoogst te scoren in klantvriendelijkheid in de markt.

Daar zijn we aangeland bij een serieuze businesseis. SABSA begeleidt ons verder in ons interview en zo komt de volgende informatie-eis boven tafel:  'Klantinformatie is altijd beschikbaar voor onze medewerkers bij contact met de klant.'

Nu gaan we een analyse doen waarom de bedreiging bestaat:

- Waarom heeft de medewerker de informatie op een usb-stick staan? Omdat dat de enige manier is dat hij de klantinformatie kan benaderen als hij onderweg is.
- Waarom kan dat niet via een umts-verbinding en een webinterface? Omdat van het klantensysteem geen webinterface is geïnstalleerd.
- Waarom heeft het klantinformatiesysteem geen webinterface? Omdat dat niet in de eisen stond.
- Waarom stond het niet in de eisen? Uit kostenoverwegingen was dat eruit gelaten.
- Waarom was die keuze zo gemaakt? Er was toen nog maar een enkele buitendienstmedewerker en die kenden de enkele klanten door en door.

We vinden op deze manier dus uit dat de tijd de gekozen oplossing heeft ingehaald. Daardoor is er een verschil ontstaan tussen de businessdoelstellingen en de beschikbare technische oplossingen. Een praktische uitweg was het gebruik van de usb-stick om een kopie van de klantendatabase bij je te hebben. Dat zorgt voor deze bedreiging.

Diezelfde tijd heeft waarschijnlijk ook de beslissing ingehaald om geen webinterface aan te schaffen. SABSA legt de vinger op de zere plek en dwingt een gedocumenteerde afweging en beslissing af of de standaard webinterface niet een beter alternatief is dan de usb-stick met de encryptie en de risico's.

Dit zijn niet de typische vragen van een informatiebeveiliger, dat moge duidelijk zijn. De bedrijfsgerichte analyse met de SABSA-methodiek bouwt een meer holistisch beeld van de situatie. Daardoor zien we de samenhang, daardoor kunnen we besluiten nemen die voor de organisatie een stuk verstandiger zijn. Als we die holistische kijk niet najagen blijf je kijken naar de beveiliging van de usb-stick. En dat gebeurt vaak, dat weten we maar al te goed.

Oplossing volgend uit SABSA-analyse

Door deze oplossing kan nu elke medewerker onderweg bij alle geheel up-to-date klantinformatie, zonder de risico's of zorgen dat de hele database op straat komt te liggen. Maar ook zonder de kosten van de encryptie, zonder de verminderde gebruiksvriendelijkheid én zonder beheer en supportkosten van een encryptie-oplossing. Naast de mogelijke kostenbesparing  wordt betere (niet veronderstelde maar werkelijke) beveiliging hier juist als beter werkbaar ervaren.

Er zijn in dit voorbeeld een aantal waardevolle toevoegingen van SABSA te herkennen:

- De organisatie veilig maar tegelijk flexibel en efficiënt houden.
- Informatiebeveiliging die niet terug te voeren is tot businesseisen is overbodig.
- Knelpunten rond informatiebeveiliging kunnen duidelijk teruggevoerd worden tot het punt van de oorzaak.
- De automatische reactie om te verbergen, te verbieden en te blokkeren is verdwenen.
- Compliance-eisen en de bedrijfsvoering beiden ondersteunen.
- Elke beslissing op het gebied van informatieveiligheid is gedocumenteerd en te traceren tot een businesseis.
- Van elke businesseis zijn de voorzieningen voor informatieveiligheid gedocumenteerd en traceerbaar.
- Samenhang in informatierisicobeheersing brengen.
- De architectuurbenadering van SABSA laat alle ruimte aan bestaande standaarden en voegt samenhang en in informatierisicobeheersing toe.

Afsluitend

Hiermee sluit ik dit drieluik van SABSA af. In deel 1 hebben we de schets van de huidige situatie op het gebied van informatiebeveiliging gelezen, in deel 2 de beschrijving van SABSA en in deel 3 een incidentgedreven voorbeeld.

De eerste reacties die ik van conceptlezers kreeg was verbazing over de logica in het gedachtengoed. Dit is toch geen 'rocket science'? Nee en ja. Als je het zo leest is het eenvoudig (en dat is ook de kracht!), maar om deze zienswijze met succes door te voeren, zeker bedrijfsbreed, moet je een architectuur neerzetten samen met een gedegen methodiek die in de praktijk gevormd is. Ook moeten er hulpmiddelen worden aangereikt waardoor niet iedereen opnieuw het wiel hoeft uit te vinden. Dat is wat SABSA biedt.

Het PvIB heeft onlangs een serie masterclasses SABSA georganiseerd, die werden erg druk bezocht en met bijonder hoog gewaardeerd door de bezoekers. Ook de SABSA Foundation-cursussen werden uitermate goed ontangen. Ik denk dat daarmee een signaal gegeven is dat de beroepsgroep toe is aan het imago van businessgedreven informatiebeveiliging.

Het einde van het imagotijdperk van beperken, blokkeren en afsluiten.